Англоговорящие пользователи по всему миру стали целью масштабной атаки, которая использует сразу три различных способа доставки вредоносного программного обеспечения. Злоумышленник, действующий под псевдонимом flexhere687-art и имеющий турецкое происхождение, развернул кампанию по распространению трояна удалённого доступа XWorm версии 6.0. Атака продолжается как минимум с 22 марта 2026 года, а её инфраструктура остаётся активной до сих пор. Жертв заманивают письмами, маскирующимися под налоговые документы, счета от FedEx, подтверждения банковских переводов, а также заявки на работу с вложенными резюме.
Описание
Цепочка заражения построена по принципу "матрешки": первичный файл, обычно JavaScript с двойным расширением вроде "document.pdf .js", запускает скрытый сценарий. Этот сценарий, в свою очередь, использует PowerShell с закодированной командой для загрузки следующего звена - сжатого архива с Python размером 14 мегабайт, размещённого на облачном сервисе Filemail. Вместе с легитимной средой Python 3.12 в архив подложен вредоносный скрипт Protected.py, который применяет несколько слоёв обфускации: арифметические выражения, кодирование Base64, сжатие zlib, перестановку символов ROT13 и XOR-шифрование с двумя разными ключами. Этот скрипт расшифровывает шелл-код с помощью AES и внедряет его в память через технику отражённой загрузки DLL. Таким образом, XWorm V6.0 запускается без записи на диск, что усложняет обнаружение антивирусами.
Параллельно злоумышленник использует BAT-сценарий, написанный на турецком языке. В нём есть комментарии "Yonetici izni kontrolu" (проверка прав администратора) и реализован обход контроля учётных записей (UAC) с помощью VBS-скрипта. После повышения привилегий сценарий отключает расширенные уведомления Защитника Windows и добавляет полные исключения для всего диска C:, а также для файлов с расширениями .exe, .bat, .ps1 и для самой папки автозагрузки. Затем он загружает с GitHub исполняемый файл dddd.exe - основную полезную нагрузку XWorm - и копирует его в папку Startup под именем Microsys.exe. Кроме того, создаётся запись в реестре для автоматического запуска при каждом включении компьютера.
На GitHub-аккаунте злоумышленника хранятся пять вредоносных исполняемых файлов. Среди них dddd.exe весом 71 килобайт - это XWorm V6.0, скомпилированный 22 марта 2026 года. Другой файл, sigortasevdalisi.exe (с турецкого "страховой энтузиаст"), имеет размер 8,4 мегабайта и служит загрузчиком. В репозитории также присутствуют 31.exe (3,2 МБ), Update_XCEmCHCVGH.exe (9,8 МБ) и ещё один вариант XWorm. Все эти репозитории, созданные в тот же день, что и аккаунт, всё ещё доступны, что является грубой ошибой операционной безопасности злоумышленника.
Для маскировки трафика и хранения посадочных страниц преступник использует сервис Google Blogger. Он зарегистрировал через Namecheap собственный домен backupallfresh2030[.]com, который указывает на Blogger с помощью CNAME. Второй такой домен - marchcap28.blogspot[.]com. Внутри Blogger найдены идентификаторы блогов, а в заголовке одного из них оставлена служебная заметка: "#2030 domain# namecheap# ALL INJECT". Оба сайта работают до сих пор. Кроме того, Filemail всё ещё раздаёт инфицированный ZIP-архив с Python.
XWorm V6.0, который доставляется таким образом, предоставляет атакующему широкий спектр возможностей. Это удалённое выполнение команд, запуск DDoS-атак, управление файлами, скрытое открытие веб-страниц, перезагрузка и выключение системы, кража паролей из браузеров и почтовых клиентов, перехват нажатий клавиш и снимков экрана, манипуляции с системным файлом hosts, внедрение в процессы, а также шифрование и расшифровка файлов. Вредонос способен обнаруживать песочницы и виртуальные машины по наличию процессов VMware, VirtualBox и библиотеки SbieDll.dll. Для связи с командным центром используется Telegram-бот, что добавляет ещё один уровень анонимности.
Несмотря на усилия по сокрытию следов, актор допустил несколько серьёзных промахов. Во-первых, его адрес электронной почты flexhere687@gmail[.]com оказался в открытом доступе из-за истории коммитов на GitHub. Во-вторых, BAT-сценарий содержит турецкие комментарии и название файла на турецком языке. В-третьих, временные метки коммитов соответствуют часовому поясу UTC+3, что характерно для Турции. Наконец, вся инфраструктура оставалась работающей более двенадцати дней после начала кампании.
Специалистам по безопасности следует обратить внимание на блокировку вложений JavaScript и BAT-файлов, поступающих из внешних источников, а также на мониторинг попыток отключения средств защиты. Организациям, использующим Microsoft Defender, рекомендуется проверить наличие исключений, добавленных вредоносным кодом. XWorm V6.0 хорошо документирован в открытых базах, поэтому современные антивирусные решения должны его распознавать - при условии, что он не загружен в память без записи на диск. Кампания продолжается, и число пострадавших может расти, если не принять упреждающих мер.
Индикаторы компрометации
Domains
- backupallfresh2030.com
- marchcap28.blogspot.com
- www.backupallfresh2030.com
URLs
- https://2007.filemail.com/api/file/get?filekey=53VkMz8l67SvighkrcVFIAwFCS9tbjRQNSIziw1sS8FshApkve0_aRg5y3k
- https://raw.githubusercontent.com/flexhere687-art/xvxc-/main/dddd.exe
SHA256
- 0794add65a271388acc6ab87a0dc2fe47373b40921f22dec12c02f74fbe6b154
- 333aae0b09f9a443c3fd9b381f04f684e87aa6ad8fc55f8ac3293e8df80b45d5
- 687f0be5399d54a1b841fdae68c75d2e46dd12f1c76f14687da58222191bbb08
- 864eedb88690d3a8479f9deb175e8cd8762b73459c5944684cc05055d14fde27
- 8d82e3757e9db0fc247350ab3140a21badcf8d6c60dfe79200d7d1e2a93dba14
- a32a687c22c7c8a2466bf4f84cd7faab3f27a3f03c8ac507d87d542966675aa9
- a864e410c00b15f65d31ebfeb96b061dbba7ca0615063d9ab59ef8b6b593d8b2
- c6c0e723cfc8bc80ec71b0f02627cf3030c27f6aa209b23cbd94d041eab64384
- d00810850aade1b7624660fedcd4753fea29a9dfe4bebbf4afe933d3aa981b93
